PKI - 借助Nginx 实现Https 服务端单向认证、服务端客户端双向认证

已于 2024-02-11 18:58:52 修改
阅读量2.8k 收藏 16
点赞数 43
分类专栏: 【加密与安全】 【Nginx】 文章标签: nginx https 运维
于 2024-02-08 23:16:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangshangwei/article/details/136083365
版权

文章目录

在这里插入图片描述

Openssl

https://www.openssl.net.cn/

openssl是一个功能丰富且自包含的开源安全工具箱。

它提供的主要功能有:

  • SSL协议实现(包括SSLv2、SSLv3和TLSv1)
  • 大量软算法(对称/非对称/摘要)
  • 大数运算
  • 非对称算法密钥生成
  • ASN.1编解码库
  • 证书请求(PKCS10)编解码
  • 数字证书编解码
  • CRL编解码
  • OCSP协议
  • 数字证书验证
  • PKCS7标准实现
  • PKCS12个人数字证书格式实现等功能

openssl采用C语言作为开发语言,这使得它具有优秀的跨平台性能。openssl支持Linux、UNIX、windows、Mac等平台。openssl目前最新的版本是0.9.8e.

操系统默认的CA证书的公钥位置

centos 下 被信任的证书在此文件中

/etc/pki/t1s/certs/ca-bunde.crt

在这里插入图片描述

Nginx Https 自签证书

创建和配置 Nginx 使用 HTTPS 自签名证书的步骤如下:

1. 生成自签名证书和私钥

在这里插入图片描述

openssl genrsa -out server.key 2048

  • 该命令生成一个 RSA 密钥对,并将私钥保存到 server.key 文件中。参数 2048 指定了密钥长度为 2048 位。

openssl req -x509 -new -nodes -key server.key -subj "/CN=artisan.com" -days 10000 -out server.crt

  • 这个命令生成一个自签名的 X.509 证书。解释如下:
    • -x509:表示生成自签名证书。
    • -new:创建一个新的证书请求。
    • -nodes:不加密生成的私钥。
    • -key server.key:指定使用之前生成的私钥文件 server.key
    • -subj "/CN=yandun.com":指定证书的主题(Subject)。在这里,/CN=yandun.com 表示通用名称(Common Name)为 yandun.com
    • -days 10000:指定证书的有效期为 10000 天。
    • -out server.crt:将生成的证书保存到 server.crt 文件中。

openssl x509 -in server.crt -noout -text

  • 该命令用于查看生成的证书的详细信息,包括主题、颁发者、有效期等。解释如下:
    • -in server.crt:指定要查看的证书文件。
    • -noout:不打印证书内容到标准输出。
    • -text:以文本形式显示证书内容。

这些命令可以用来生成自签名的证书并查看证书的详细信息。

在这里插入图片描述

Issuer 和 Subject 是同一个机构, 说明是自签证书。

CA: TRUE 说明它是一个CA签发结构。

2. 配置 Nginx 使用 HTTPS

编辑 Nginx 的配置文件(通常位于 /etc/nginx/nginx.conf/etc/nginx/sites-available/default),并确保以下配置项已经添加或更新:

 server {
   
   .....
   .....
 	ss1 on;
 	ss1_certificate /cert/server.crt;
	ss1_certificate_key /cert/server.key;
	
	# 暂不开启
	#ss1_client_certificate /cert/client.crt;
	#ssI_verify_client on;

	ss1_session_cache shared:ssL:1m;
	ss1_session_timeout 10m;
	ss1_ciphers HIGH:!aNULL:!MD5;
 	ss1_prefer_server_ciphers on; 

 .....
   .....
   }

每个指令的含义如下:

  1. ss1 on;

    • 启用 SSL/TLS 加密。这表示流模块将使用 SSL/TLS 加密来保护与客户端的通信。

  2. ss1_certificate /cert/server.crt;

    • 指定用于 SSL/TLS 加密的服务器证书文件路径。在这里,/cert/server.crt 是服务器证书的路径。

  3. ss1_certificate_key /cert/server.key;

    • 指定用于 SSL/TLS 加密的服务器私钥文件路径。在这里,/cert/server.key 是服务器私钥的路径。

  4. #ss1_client_certificate /cert/client.crt;

    • 用于指定客户端证书的文件路径。这是可选的,如果您希望服务器验证客户端的证书,则取消注释并指定客户端证书的路径。

  5. #ss1_verify_client on;

    • 用于指定是否验证客户端证书。取消注释并设置为 on 可以启用客户端证书验证。

  6. ss1_session_cache shared:ssL:1m;

    • 指定用于缓存 SSL/TLS 会话的共享内存区域名称和大小。在这里,会话缓存名称为 ssL,大小为 1MB。

  7. ss1_session_timeout 10m;

    • 指定 SSL/TLS 会话的超时时间。在这里,会话超时时间为 10 分钟。

  8. ss1_ciphers HIGH:!aNULL:!MD5;

    • 指定 SSL/TLS 加密算法的优先级和允许使用的加密套件。在这里,使用了 HIGH 表示使用高强度加密算法,同时禁用了一些不安全的加密套件,如 NULLMD5

  9. ss1_prefer_server_ciphers on;

    • 指定是否优先使用服务器端提供的加密套件。设置为 on 表示优先使用服务器端提供的加密套件。

这些指令配置了 Nginx 流模块的 SSL/TLS 加密功能,包括了服务器证书、私钥、会话缓存等参数。

3. 重启 Nginx 服务

完成配置后,通过以下命令重启 Nginx 服务,以使更改生效:

sudo systemctl restart nginx

现在,Nginx 应该已经配置为使用自签名证书进行 HTTPS 加密通信。请确保防火墙已正确配置以允许流量通过 HTTPS 端口(默认为 443)。

4. 直接访问

在这里插入图片描述

我们可以看到 开启了Https以后,直接使用http的方式访问是行不通的

curl: (60) Peer's certificate issuer has been marked as not trusted by the user
More details here: http;//curl.haxx.se/docs/sslcerts.html

通过web访问 会弹出警告信息

在这里插入图片描述

5. 不验证证书直接访问

If you'd like to turn off curl's verification of the certificate, use
the -k (or --insecure)  option.

curl  https://192.168.3.103 -k

可以通过在 curl 命令中添加 -k--insecure 选项来关闭 curl 对证书的验证,从而允许直接访问未经验证的 HTTPS 网站。这样做会绕过证书验证过程,可能会存在安全风险,因此建议仅在测试或特殊情况下使用。

可以使用的命令:

curl https://192.168.3.103 -k

这个命令将直接访问 https://192.168.3.103,而不会验证服务器证书的有效性。

请注意,使用 -k 选项会将连接置于不安全的状态,因为它不验证服务器证书的真实性,可能容易受到中间人攻击。因此,在生产环境中应避免使用此选项,以确保通信的安全性。

6. 使用server.crt作为ca证书验证服务端

cur https://192.168.3.103  --cacert /cert/server.crt

在这里插入图片描述

curl: (51) Unable to communicate securely with peer: requested domain name does not match  the server's certificate.

证书绑定的域名和当前请求域名不匹配

解决方法1:使用 --resolve 参数进行请求域名解析

cur1 https://artisan.com --cacert /cert/server.crt artisan.com:443:192.168.3.103

可以使用 curl 命令的 --resolve 参数来指定域名解析,将请求的域名解析为服务器的 IP 地址。这样,即使请求的域名与服务器证书绑定的域名不匹配,也能够建立连接。

这种方法只适用于测试或特殊情况,因为它绕过了域名验证的重要步骤,存在一定的安全风险。

解决方法2:修改客户端的 hosts 文件

让客户端解析 artisan.com 为 ip 192.168.3.103

echo  "192.168.3.103 artisan.com' >> /etc/hosts

将服务器的域名解析为服务器的 IP 地址,以确保请求的域名与服务器证书绑定的域名匹配。通过编辑客户端的 hosts 文件来实现,将域名解析为正确的 IP 地址。

这种方法更安全,因为它保留了域名验证的重要性,并且不会绕过任何安全检查。

7. curl 验证服务端时 不指定证书路径

cat /cert/server.crt >> /etc/pki/tls/certs/ca-bundle.crt

curl   https://artisan.com

会报错,curl: (7) Failed connect to artisan.com:443; Connection refused

可以采用如下命令

curl   https://artisan.com  --resolve artisan.com:443:192.168.3.103

在这个命令序列中, 将服务器证书 server.crt 的内容附加到根证书存储库 /etc/pki/tls/certs/ca-bundle.crt 中,然后使用 curl 命令来访问 https://artisan.com 网站。

首先尝试将服务器证书 server.crt 的内容追加到系统的根证书存储库中,然后使用 curl 命令来访问 https://artisan.com。然而,遇到了连接被拒绝的错误。

使用 --resolve 参数来模拟 DNS 解析,将 artisan.com 解析为 IP 地址 192.168.3.103。这样做可以绕过 DNS 解析,并直接将域名与 IP 地址对应,从而解决了连接被拒绝的问题。

curl https://artisan.com --resolve artisan.com:443:192.168.3.103

这个命令中的 --resolve artisan.com:443:192.168.3.103 参数指示 curl 使用指定的 IP 地址来访问 artisan.com,而不是通过 DNS 解析。

这种方法适用于在本地测试环境中模拟特定域名与 IP 地址的关联,但在生产环境中应避免使用,因为它绕过了域名解析的安全检查。

Nginx Https 使用CA签发证书

PKI - 借助Nginx 实现Https_使用CA签发证书

客户端使用自签证书供服务端验证

PKI - 借助Nginx实现_客户端使用自签证书供服务端验证

客户端使用 根证书 签发客户端证书 供服务端验证

PKI - 借助Nginx实现_客户端使用CA根证书签发客户端证书

在这里插入图片描述

小小工匠
关注
  • 43
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Openssl实现双向认证教程(附服务端客户端代码)
01-09
第一个是当时最终的课程设计客户端是浏览器,服务端是tomcat双向认证只需要对两者进行配置并不需要自己真的实现代码。 第二个是虽然课程也有接近双向认证实现代码,但当时是Java+JCE环境现在要用C+++OpenSSL环境,...
PKI - 借助Nginx实现_客户端使用自签证书供服务端验证
小工匠
02-11 2043
自签名证书可以用于验证客户端的身份。通过客户端提供的证书,服务端可以确保连接方是合法的客户端,并且拥有该证书对应的私钥。使用自签名证书的客户端可以与服务端建立加密的通信通道。客户端的证书中包含了公钥,可以用于加密数据传输,保护数据的机密性。通过客户端的证书验证,服务端可以确保与客户端直接通信,防止中间人攻击。如果客户端提供的证书无效或不匹配,服务端会拒绝连接,从而保护通信的安全性。服务端可以根据客户端提供的证书对其进行授权访问。
PKI - 借助Nginx 实现Https_使用CA签发证书
小工匠
02-11 2787
使用 CA 签发的证书可以建立信任关系,客户端可以信任由公认的 CA 颁发的证书,从而确保与服务器之间的通信是安全可靠的。CA 对证书申请者进行身份验证,并在验证通过后签发证书。这样,服务器可以通过 CA 签发的证书来证明自己的身份,确保客户端与合法的服务器进行通信,防止中间人攻击。证书中包含了公钥,可以用于加密通信数据。使用 CA 签发的证书可以保护通信数据的机密性,防止数据被窃取或篡改。证书中包含了数字签名,可以用于验证通信数据的完整性。使用 CA 签发的证书可以确保通信数据在传输过程中没有被篡改。
PKI - 借助Nginx实现_客户端使用CA根证书签发客户端证书
小工匠
02-12 1950
这个命令生成了一个 2048 位长度的 RSA 私钥,并将其保存到文件中。这个私钥将用于后续创建自签名的根证书。这个命令使用上一步生成的私钥 () 来生成一个自签名的根证书。具体地,它执行了以下操作:-x509:生成一个自签名的 X.509 格式证书。-new:创建一个新的证书请求。-nodes:不使用密码加密密钥。:指定之前生成的私钥文件作为证书的密钥。:指定证书的主题信息。在这里,表示证书的通用名称 (Common Name) 为client-ca。-days 5000。
Nginx Https 双向认证
猴子哥哥的博客
02-04 716
1 基础知识 1.1 单向认证 SSL 步骤 1、客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息 2、服务器向客户端传送 SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书 3、客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行服务器证书的 CA 是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和
云计算-基于PKI的网格计算认证和能力授权模型.pdf
07-01
云计算-基于PKI的网格计算认证和能力授权模型.pdf
论文研究-PKI安全认证体系的研究.pdf
07-22
PKI作为一种安全基础设施,可为不同的用户按不同的安全需求提供多种安全服务,主要包括认证、数据完整性、数据保密性、不可否认性、安全时间戳和存取控制等服务。而安全认证服务融合了上述服务中所采用的主要技术,...
论文研究-基于HTTPS隧道技术的统一认证平台研究与实现.pdf
07-22
首先对现实网络系统中遇到的身份认证、管理分散、数据传输的安全和管理问题需求...基于PKI技术,同时利用数字证书作为强身份认证方式,设计并实现了统一认证访问控制系统,该系统由客户端和访问控制服务器两部分组成。
基于springboot的Netty的SSL加密PKI认证通信
04-01
采用springboot的基于Netty的SSL加密PKI认证通信,里面模拟了Netty的客户端服务端的证书认证规则,同时分为单向认证双向认证,信任证书链并对RA颁发的证书来进行验签,实现双向单向加密通信,保障了数据的...
Apace配置+http重定向到https
qq_39951524的博客
04-23 570
Apace配置+http重定向到https;配置apache安装目录下的 ssl.conf 以下内容;配置apache安装目录下的 httpd.conf 以下内容;
0元实现网站HTTP升级到HTTPS(免费https证书)
abcd759200的博客
04-23 932
HTTPS就是在HTTP的基础上加入了SSL,将一个使用HTTP的网站免费升级到HTTPS主要包括以下五个步骤:
http和https的区别
lth002的博客
04-27 5557
但是这种方式也有一个弊端,那就是被篡改,就是在服务端第一次给客户端公钥key1的时候,第三方把公钥key1保存起来,然后第三方生成一个公钥key3和私钥key3,然后将公钥key3给客户端客户端并不知道这个公钥key3是被篡改的,也用公钥key3来加密公钥key2,然后第三方窃取到这个加密后的公钥key2,通过私钥key3进行解密就可以拿到公钥key2,进行保存,然后再用之前保存的公钥key1来加密给服务端,这样第三方也能获取到公钥key2。不能理解的话就画图来表示,整个逻辑很简单的。
你的网站还在使用HTTP? 免费升级至HTTPS
abcd759200的博客
04-26 733
http升级到https的关键是安装部署ssl证书,本文阐述了从证书申请到启用https的详细过程
关于前后端一体项目SpringSecurity框架登陆失效,HTTPS重定向登陆页面异常的问题
qq826303461的博客
04-26 420
这里看了部分的源码,发现SpringSecurtiy中有LoginUrlAuthenticationEntryPoint的内,有对应的配置。这里是配置登陆失败跳转的地方。场景:用户登陆,系统重启导致用户的session失效。但前端并没有跳转到对应的登录页,在HTTP的环境下可以正常跳转,但在生产环境跳转失败,并报以下错误。现有环境是基于SpringBoot 2.6.8,然后是前后台一体化的项目。安全框架使用的是内置版本的SpringSecurity。所以解决方案就是,重写这个类,将请求强制改为HTTPS
分享一个网站实现永久免费HTTPS访问的方法
ylfdc168的博客
04-26 1026
免费SSL证书作为一种基础的网络安全工具,以其零成本的优势吸引了不少网站管理员的青睐。
​HTTP与HTTPS:网络通信的安全卫士
最新发布
喔的嘛呀的博客
04-29 918
HTTP和HTTPS作为网络通信的两大协议,各有其特点和应用场景。在信息安全日益受到关注的今天,采用HTTPS成为保障用户隐私和数据安全的重要手段。了解它们的区别与特点,有助于我们更好地选择和应用在不同场景中,为用户提供更安全可靠的网络体验。
HTTP如何自动跳转到HTTPS,免费SSL证书如何获取
u012062803的博客
04-24 609
HTTP,即超文本传输协议,是互联网上应用最为广泛的网络协议。而HTTPS,全称为安全超文本传输协议,通过在HTTP的基础上加入了SSL/TLS加密层,使得数据能够被加密传输,从而保障了数据的安全。然而,对于一些刚刚起步的网站或是个人博客而言,如何自动跳转到HTTPS,以及免费SSL证书的获取,可能还是一个需要解决的问题。各类服务器需要修改的文件大同小异,可根据自己服务器类型选择需要修改的文件和参数,不知道的也可自行搜索。以上就是从HTTP自动跳转到HTTPS,以及获取免费SSL证书的具体步骤。
Linux nginx 双向认证操作
06-06
以下是在Linux系统上使用Nginx实现双向认证的简单步骤: 1. 生成数字证书和私钥 客户端和服务器都需要生成数字证书和私钥,可以使用openssl工具生成。在终端中输入以下命令: ``` # 生成服务器证书和私钥 openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout server.key -out server.crt # 生成客户端证书和私钥 openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout client.key -out client.crt ``` 2. 配置Nginx服务器 在Nginx服务器的配置文件中,需要配置ssl_certificate和ssl_certificate_key参数来指定服务器的数字证书和私钥。在终端中输入以下命令: ``` # 编辑Nginx配置文件 sudo nano /etc/nginx/nginx.conf # 添加以下配置 server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/server.key; ssl_client_certificate /path/to/ca.crt; ssl_verify_client on; location / { root /var/www/html; index index.html; } } ``` 3. 配置客户端 客户端也需要配置数字证书和私钥,可以使用curl命令测试双向认证是否生效。在终端中输入以下命令: ``` # 添加客户端证书和私钥 curl --cert client.crt --key client.key https://example.com ``` 4. 配置相互信任的CA证书 为了确保数字证书的可信度,客户端和服务器都需要配置信任的CA证书。在终端中输入以下命令: ``` # 生成CA证书 openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout ca.key -out ca.crt # 配置服务器信任的CA证书 sudo mkdir /etc/nginx/ssl sudo cp ca.crt /etc/nginx/ssl sudo nano /etc/nginx/nginx.conf # 在http段中添加以下配置 http { ssl_client_certificate /etc/nginx/ssl/ca.crt; ssl_verify_client on; } # 配置客户端信任的CA证书 sudo mkdir /etc/pki/ca-trust/source/anchors/ sudo cp ca.crt /etc/pki/ca-trust/source/anchors/ sudo update-ca-trust ``` 5. 开启双向认证 在配置文件中设置ssl_client_certificate参数为CA证书路径,ssl_verify_client为on,即可启用双向认证。在终端中输入以下命令: ``` # 重启Nginx服务 sudo systemctl restart nginx.service ``` 这样就完成了在Linux系统上使用Nginx实现双向认证的操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小小工匠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值